Das Europäische Parlament hat am 13.04.2024 die weltweit erste Regulierung künstlicher Intelligenz verabschiedet.
Die KI-Verordnung (auch: „AI-Act“) bringt zahlreiche Pflichten für Betreiber von KI-Systemen mit sich und hat weitreichende Auswirkungen auf Unternehmen, die solche Systeme nutzen. Sie gilt für alle Unternehmen mit Sitz in der EU und nach dem Marktortprinzip auch für solche außerhalb der EU, sofern ihre KI-Systeme für Nutzer innerhalb der EU bereitgestellt werden (Art. 2 KI-VO). Unternehmen, die bereits bestehende KI-Systeme nutzen, müssen sicherstellen, dass diese bei wesentlichen Änderungen den neuen Vorschriften entsprechen (Art. 111 Abs. 2 KI-VO).
Noch ist etwas Zeit: Vor Inkrafttreten der KI-Verordnung müssen noch das Europäische Parlament und der Rat formell zustimmen. Die Verordnung tritt am 20. Tag nach Veröffentlichung im EU-Amtsblatt in Kraft und findet grundsätzlich 24 Monate später Anwendung.
Einige Vorschriften sind aber auch schon früher anwendbar: In der Verordnung geregelte Verbote greifen bereits nach sechs Monaten, Vorschriften zu KI-Modellen mit allgemeinem Verwendungszweck gelten bereits nach 12 Monaten.
Allerdings hatte auch die DSGVO ja einen zeitlichen Vorlauf von 2 Jahren, bevor sie angewendet werden mußte – ohne dass alle Unternehmen rechtzeitig ihre Hausaufgaben erledigt hatten.
Grund genug, rechtzeitig einmal die KI selbst (GPT-4) einen Blick auf die wesentlichen Inhalte der KI-Verordnung werfen zu lassen. Der fällt – leicht redaktionell redigiert – so aus:
Die durch die KI-Verordnung geregelten Pflichten für Betreiber von KI-Systemen sind abhängig von der Risikostufe des jeweiligen Systems. Besonders streng sind die Vorschriften für Hochrisiko-KI-Systeme (Art. 6 KI-VO). Dazu zählen unter anderem HR-Software zur Bewerberauswahl und Personalmanagement, da diese Systeme die Karriereaussichten und Lebensgrundlagen von Personen erheblich beeinflussen können (Anhang III Nr. 4 KI-VO).
Betreiber solcher Systeme müssen geeignete technische und organisatorische Maßnahmen implementieren (Art. 26 KI-VO), um eine Nutzung gemäß den Herstelleranweisungen zu gewährleisten und menschliche Aufsicht sicherzustellen (Art. 27 KI-VO). Es ist essentiell, dass nur relevante und repräsentative Eingabedaten verwendet werden (Art. 10). Zudem müssen schwerwiegende Vorfälle gemeldet und Logfiles aufbewahrt werden (Art. 28 KI-VO).
Für KI-Systeme, die in sensiblen Bereichen wie öffentliche Dienstleistungen, Kredit-Scoring oder die Preisgestaltung von Versicherungen eingesetzt werden, ist eine Grundrechte-Folgenabschätzung erforderlich (Art. 29 KI-VO).
Verstöße gegen die Anforderungen des KI-Gesetzes können zu erheblichen Bußgeldern führen. Der Einsatz verbotener KI-Systeme kann mit Geldstrafen von bis zu 35 Millionen Euro oder 7 % des weltweiten Jahresumsatzes geahndet werden (Art. 71 Abs. 3 KI-VO). Andere Verstöße gegen die Betreiberpflichten können Strafen von bis zu 15 Millionen Euro oder 3 % des weltweiten Jahresumsatzes nach sich ziehen (Art. 71 Abs. 4 KI-VO).
Zusätzlich müssen Betreiber sicherstellen, dass ihre Mitarbeiter umfassend geschult und kontinuierlich weitergebildet werden, insbesondere im Umgang mit Hochrisiko-KI-Systemen (Art. 24 KI-VO). Diese Schulungspflicht ist sowohl im neuen KI-Gesetz als auch im Arbeitsschutzgesetz verankert. Transparenzpflichten sind besonders für generative KI-Systeme relevant (Art. 50 KI-VO), wobei die Betreiber verpflichtet sind, Informationen über die Funktionsweise und die Entscheidungsgrundlagen der KI bereitzustellen.
Die Einführung und Nutzung von KI-Tools im Unternehmen unterliegt zudem der Mitbestimmung des Betriebsrats. Gemäß dem Betriebsverfassungsgesetz (§ 87 Abs. 1 Nr. 6 und 7 BetrVG) hat der Betriebsrat Mitbestimmungsrechte bei wesentlichen Änderungen in der Betriebsorganisation oder den Arbeitsmethoden, die durch den Einsatz von KI-Tools bedingt sind.
Neue Beteiligungsrechte des Betriebsrats im Zusammenhang mit KI wurden 2021 in das BetrVG eingeführt, was die Bedeutung dieses Themas unterstreicht. Betriebsräte können bei der Einführung oder Anwendung von KI-Tools einen Sachverständigen hinzuziehen, um die Auswirkungen besser einschätzen zu können.
Der Einsatz von KI-Tools muß durch unternehmensweite Richtlinien begleitet werden, die den verantwortungsvollen Umgang mit KI und die Einhaltung gesetzlicher Vorgaben sicherstellen. Diese Richtlinien sollten auch die Verpflichtung zur Transparenz, Erklärbarkeit der KI-Entscheidungen und den Datenschutz umfassen (Art. 13 KI-VO). Es ist besonders wichtig, dass KI-Systeme keine Diskriminierungsmuster fortschreiben, da das Allgemeine Gleichbehandlungsgesetz (§ 1 AGG) Benachteiligungen wegen Geschlecht, Behinderung oder ethnischer Herkunft strikt verbietet.
Trotz der umfassenden regulatorischen Anforderungen bieten KI-Tools offensichtliche Vorteile für Arbeitgeber. Sie können Workflows verbessern, standardisierte Aufgaben automatisieren und die Genauigkeit erhöhen, was zu Zeit- und Kosteneinsparungen führt. KI-Tools finden im gesamten Lebenszyklus eines Arbeitsverhältnisses Anwendung, von der Rekrutierung und Personalentwicklung über das Performance Management bis hin zur Mitarbeiterkommunikation und -bindung.
Die KI-VO stellt somit einen klaren Rechtsrahmen bereit, der es Unternehmen ermöglicht, die vielfältigen Potenziale der KI auf rechtlich verläßlichem Boden zu nutzen.